ГлавнаяАвторские блоги01 сентября наступило, а вопросы по персональным данным остались

01 сентября наступило, а вопросы по персональным данным остались

01 сентября наступило, а вопросы по персональным данным остались

Предприниматели

Буквально всех взбудоражило известие о необходимости включения в Реестр операторов, обрабатывающих персональные данные (путем подачи уведомления в Роскомнадзор)

Почему-то именно эта обязанность, несмотря на небольшой штраф за ее несоблюдение (для юр. лиц 3-5 тысяч рублей), вызвала такой ажиотаж?

Возможно, это изменение в нормах закона о персональных данных особенно активно анонсировалось, но факт в том, что буквально каждый задавал вопросы: «А вы включились в реестр? А вы подали уведомление по персональным данным? А нам надо туда включаться».

Многочисленные звонки предпринимателей с вопросами позволили мне сделать вывод, что «простые смертные» и даже компании вообще не понимают о чем идет речь, должны ли они подавать уведомление о включении в Реестр операторов по обработке ПД и что в нем необходимо указывать.

Практически всем звонившим пришлось напоминать, что уже существуют обязанности по правильной обработке персональных данных, по их защите от утечки, от незаконного распространения и ответственность за нарушение законодательства в сфере ПД.

У МНОГИХ ОТСУТСТВУЕТ ПОНИМАНИЕ, ЧТО ПОДАЧА УВЕДОМЛЕНИЯ ДЛЯ ВСТУПЛЕНИЯ В РЕЕСТР ОПЕРАТОРОВ ПО ОБРАБОТКЕ ПД АБСОЛЮТНО ВТОРИЧНАЯ ПРОЦЕДУРА ПО ОТНОШЕНИЮ К ОБЯЗАННОСТИ ПРАВИЛЬНО ОБРАБАТЫВАТЬ ПЕРСОНАЛЬНЫЕ ДАННЫЕ!

Напомним, что обработка персональных данных — любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;

Подавая уведомление, любой оператор (юр, физ лицо, ИП, обрабатывающее ПД) только ПОДТВЕРЖДАЕТ, что ОБРАБАТЫВАЕТ ИХ В СООТВЕТСТВИИ С ТРЕБОВАНИЯМИ ЗАКОНА! Уже и до подачи уведомления во многих случаях ясно, что он является оператором по обработке ПД.

Еще «старая редакция» Кодекса РФ об административных правонарушениях (2007 г.) устанавливала ответственность (в ст. 13.11.) за нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных); за использование несертифицированных информационных систем, баз и банков данных, а также несертифицированных средств защиты информации, если они подлежат обязательной сертификации.

В последующем в КоАП РФ вносились изменения, ответственность ужесточалась.

Статья 13.11 КоАП РФ устанавливает административную ответственность в виде штрафов (где-то с 01.09.22 г.), «за нарушения в сфере обработки ПД», например:

Часть 1 : Обработка персональных данных в случаях, не предусмотренных законодательством Российской Федерации в области персональных данных, либо обработка персональных данных, несовместимая с целями сбора персональных данных, за исключением случаев, предусмотренных частью 2 настоящей статьи и статьей 17.13 настоящего Кодекса, если эти действия не содержат уголовно наказуемого деяния, —

влечет наложение административного штрафа на граждан в размере от двух тысяч до шести тысяч рублей; на должностных лиц — от десяти тысяч до двадцати тысяч рублей; на юридических лиц — от шестидесяти тысяч до ста тысяч рублей.

1.1. Повторное совершение указанного административного правонарушения, (предусмотренного частью 1) настоящей статьи, —

влечет наложение административного штрафа на граждан в размере от четырех тысяч до двенадцати тысяч рублей; на должностных лиц — от двадцати тысяч до пятидесяти тысяч рублей; на индивидуальных предпринимателей — от пятидесяти тысяч до ста тысяч рублей; на юридических лиц — от ста тысяч до трехсот тысяч рублей.

Часть 2: Обработка персональных данных без согласия в письменной форме субъекта персональных данных на обработку его персональных данных в случаях, когда такое согласие должно быть получено в соответствии с законодательством Российской Федерации в области персональных данных, за исключением случаев, предусмотренных статьей 17.13 настоящего Кодекса, если эти действия не содержат уголовно наказуемого деяния, либо обработка персональных данных с нарушением установленных законодательством Российской Федерации в области персональных данных требований к составу сведений, включаемых в согласие в письменной форме субъекта персональных данных на обработку его персональных данных, —

влечет наложение административного штрафа на граждан в размере от шести тысяч до десяти тысяч рублей; на должностных лиц — от двадцати тысяч до сорока тысяч рублей; на юридических лиц — от тридцати тысяч до ста пятидесяти тысяч рублей.

2.1. Повторное совершение административного правонарушения, предусмотренного частью 2 настоящей статьи, —

влечет наложение административного штрафа на граждан в размере от десяти тысяч до двадцати тысяч рублей; на должностных лиц — от сорока тысяч до ста тысяч рублей; на индивидуальных предпринимателей — от ста тысяч до трехсот тысяч рублей; на юридических лиц — от трехсот тысяч до пятисот тысяч рублей.

Часть 3. Невыполнение оператором предусмотренной законодательством Российской Федерации в области персональных данных обязанности по опубликованию или обеспечению иным образом неограниченного доступа к документу, определяющему политику оператора в отношении обработки персональных данных, или сведениям о реализуемых требованиях к защите персональных данных

влечет наложение административного штрафа на граждан в размере от одной тысячи пятисот до трех тысяч рублей; на должностных лиц — от шести тысяч до двенадцати тысяч рублей; на индивидуальных предпринимателей — от десяти тысяч до двадцати тысяч рублей; на юридических лиц — от тридцати тысяч до шестидесяти тысяч рублей.

Часть 4. Невыполнение оператором предусмотренной законодательством Российской Федерации в области персональных данных обязанности по предоставлению субъекту персональных данных информации, касающейся обработки его персональных данных, — влечет наложение административного штрафа на граждан в размере от двух тысяч до четырех тысяч рублей; на должностных лиц — от восьми тысяч до двенадцати тысяч рублей; на индивидуальных предпринимателей — от двадцати тысяч до тридцати тысяч рублей; на юридических лиц — от сорока тысяч до восьмидесяти тысяч рублей.

Часть 5. Невыполнение оператором в сроки, установленные законодательством Российской Федерации в области персональных данных, требования субъекта персональных данных или его представителя либо уполномоченного органа по защите прав субъектов персональных данных об уточнении персональных данных, их блокировании или уничтожении в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, —

влечет наложение административного штрафа на граждан в размере от двух тысяч до четырех тысяч рублей; на должностных лиц — от восьми тысяч до двадцати тысяч рублей; на индивидуальных предпринимателей — от двадцати тысяч до сорока тысяч рублей; на юридических лиц — от пятидесяти тысяч до девяноста тысяч рублей.

5.1. Повторное совершение административного правонарушения, предусмотренного частью 5 настоящей статьи, —

влечет наложение административного штрафа на граждан в размере от двадцати тысяч до тридцати тысяч рублей; на должностных лиц — от тридцати тысяч до пятидесяти тысяч рублей; на индивидуальных предпринимателей — от пятидесяти тысяч до ста тысяч рублей; на юридических лиц — от трехсот тысяч до пятисот тысяч рублей.

6. Невыполнение оператором при обработке персональных данных без использования средств автоматизации обязанности по соблюдению условий, обеспечивающих в соответствии с законодательством Российской Федерации в области персональных данных сохранность персональных данных при хранении материальных носителей персональных данных и исключающих несанкционированный к ним доступ, если это повлекло неправомерный или случайный доступ к персональным данным, их уничтожение, изменение, блокирование, копирование, предоставление, распространение либо иные неправомерные действия в отношении персональных данных, при отсутствии признаков уголовно наказуемого деяния —

влечет наложение административного штрафа на граждан в размере от одной тысячи пятисот до четырех тысяч рублей; на должностных лиц — от восьми тысяч до двадцати тысяч рублей; на индивидуальных предпринимателей — от двадцати тысяч до сорока тысяч рублей; на юридических лиц — от пятидесяти тысяч до ста тысяч рублей.

ПОЧЕМУ НЕТ НИКАКОГО АЖИОТАЖА ПО ЭТИМ НОРМАМ И ШТРАФАМ? ПОЧЕМУ ВСЕ АКЦЕНТИРОВАЛИ ВНИМАНИЕ НА ПОДАЧЕ УВЕДОМЛЕНИЯ, А НЕ СТАРАЮТСЯ ИЗБЕЖАТЬ ШТРАФОВ ПО ЭТОЙ СТАТЬЕ? МНОГИЕ, КАК ВЫЯСНИЛОСЬ, ОБ ЭТОЙ НОРМЕ КоАП РФ ДАЖЕ НЕ ЗНАЮТ. У многих (особенно небольшие фирмы, ИП) нет никаких документов по обработке персональных данных, нет приказов, ответственных….про технические средства защиты и безопасности ПД тоже мало кто что может сказать…

Однако если вы не подадите уведомление, то у вас, может быть штраф 3-5 тыс. рублей…(сейчас говорят, что в первое время Роскомнадзор будет ограничиваться предупреждением).

Если же у вас есть вышеуказанные нарушения при обработке ПД, в том числе, например:

— идет сбор избыточных персональных данных,

— нет политики по обработке ПД,

— политика по обработке ПД не размещена на сайте в необходимых случаях ,

-политика по обработке ПД «неправильная» ,

— в неограниченном доступе в сети Интернет нет сведений о реализуемых требованиях к защите ПД…-ШТРАФЫ ГОРАЗДО ВЫШЕ!

И сейчас даже если вы подадите уведомление в Роскомнадзор без разработки необходимых локальных актов, обеспечения безопасности ПД…, по сути, это будет подача недостоверных сведений, так как по факту у вас в компании все это не соблюдается и не реализуется (в реальности не обеспечивается защита ПД). При этом, конечно, сейчас это никто проверять, скорее всего, не будет.

Поэтому, повторяясь, даже если сейчас вы подаете уведомление об обработке ПД (клиентов, работников и пр.), по-хорошему, вы должны «в реальности» обеспечить наличие политики об обработке ПД, ее размещение на сайте в необходимых случаях, об указании сведений о реализуемых требованиях к защите ПД.

Подавая уведомление в Роскомнадзор , без участия юристов, компетентных в сфере защиты ПД, многие сейчас, чтобы «соблюсти сроки» (до 01 сентября 2022 г.) просто копируют какие-то данные у коллег, не понимая, относятся ли эти сведения к ним (к осуществляемой ими обработке ПД), «лишь бы успеть подать».

Тогда как , было бы правильным, если бы алгоритм был осуществлен в обратном порядке:

разработаны необходимые локальные акты, осуществляется контроль за их исполнением;

-разработаны и реализованы технические меры по защите ПД и средства обеспечения безопасности ПД;

-подано уведомление о включении в Реестр операторов , обрабатывающих ПД.

Для сведения: Форма уведомления на сайте Роскомнадзора:

https://pd.rkn.gov.ru/operators-registry/notification/form/

Пример заполнения уведомления: https://32.rkn.gov.ru/personal-data/p13324/.

Еще раз следует обратить внимание, что уведомление (пример заполнения не универсален) должно быть адаптировано под вашу «деятельность» (под вашу обработку ПД).

Следует напомнить, что с 01.09.22 г. исключены такие случае обработки ПД, когда уведомлять не надо, например, такие случаи как:

— обработка в соответствии с трудовым законодательством (т.е. теперь надо включаться в Реестр , если вы автоматизированно обрабатываете ПД работников, передаете их в банк для исполнения зарплатного проекта ); Уведомление подают один раз без указания сотрудников. Роскомнадзор не требует подавать каждый раз уведомления при найме нового персонала. Но, если меняется состав собираемой информации, ведомству следует сообщить о новых категориях обрабатываемых данных. Если меняется сотрудник, который отвечает за обработку персональных данных, в Роскомнадзор отправляют уведомление с ФИО и должностью нового ответственного лица.

— обработка ПД, полученных оператором в связи с заключением договора, стороной которого является субъект персональных данных, если персональные данные не распространяются, а также не предоставляются третьим лицам без согласия субъекта персональных данных и используются оператором исключительно для исполнения указанного договора и заключения договоров с субъектом персональных данных (теперь надо включаться в Реестр, если вы работаете по договорам и собираете ПД стороны договора, храните их в компьютере «для себя»);

— обработка только фамилии, имени и отчества субъектов персональных данных (если занесли в компьютер только ФИО , то получается (хотя момент, на мой взгляд, требует уточнения), что тоже надо включаться в Реестр и обеспечивать «в реальности» путем реализации необходимых технических мер невозможность несанкционированного доступа третьих лиц к ПД;

-обработка ПД, необходимых в целях однократного пропуска субъекта персональных данных на территорию, на которой находится оператор, или в иных аналогичных целях (если записали Ф.И.О. проходящего в тетрадь, без внесения в компьютер (т.е. нет автоматизированной обработки ПД), включаться в Реестр не надо; если вносятся данные в компьютер-надо. Надо включиться в Реестр и обеспечить защиту и безопасность ПД).

То есть теперь, если вы осуществляете указанную выше обработку ПД, вы должны уведомить об этом Роскомнадзор (включиться в Реестр операторов по обработке ПД. Даже без этого «включения», по смыслу закона, обрабатывая ПД, вы являетесь оператором! Как только один человек заполнил на вашем сайте форму обратной связи с указанием своих персональных данных, компания (ИП) становится оператором по обработке ПД!).

Я не думаю, что надо бояться включения в Реестр операторов , особенно крупным компаниям, так как фактически у той же налоговой, ПФ РФ есть данные о ваших трудовых отношениях с работниками (т.е. уже известно, что вы обрабатываете ПД). Также следует «ставиться на учет» в Реестр операторов, если у компании есть сайт с формой регистрации с указанием ПД или подпиской на рассылку (такие компании, ИП могут быть объектом пристального внимания Роскомнадзора).При этом, нельзя исключать, что у кого-то могут найтись причины для сокрытия запрашиваемой Роскомнадзором информации…

В любом случае, в первую очередь, надо навести «порядок в документах», разработать необходимые локальные акты, приказы и технически обеспечить защиту и безопасность ПД. Тогда и не придется бояться каких-либо жалоб и проверок, так как обработка ПД будет осуществляться в соответствии с требованиями законодательства.

Любовь Шаталина. Сообщество предпринимателей Одинцовского городского округаОб авторе. Любовь Шаталина

Авторский блог — статьи, направленные на повышение юридической грамотности предпринимателей

Руководитель Центра защиты прав предпринимателей Москвы и Московской области, Член сообщества предпринимателей Одинцовского городского округа

Телефон: +7 (915) 205 7929
e-mail: law6@yandex.ru
Перейти на личную страницу Любови Шаталиной

Последние новости